Отключение инфраструктуры: уязвимости Delta Electronics как способ захвата управления дата-центром

Критические уязвимости в продукте для мониторинга операционных технологий (OT) компании Delta Electronics могут позволить хакерам скрывать свои действия от сотрудников целевой организации.

Проблема затрагивает продукт Delta под названием InfraSuite Device Master версии 1.0.7 и более ранние. О наличии уязвимостей стало известно в конце ноября, когда агентство CISA и инициатива Zero Day Initiative (ZDI) опубликовали соответствующие предупреждения. Delta Electronics рекомендует обновить свое программное обеспечение до версии 1.0.10 или более поздней.

InfraSuite Device Master – это программное обеспечение для мониторинга и управления инфраструктурой центров обработки данных, позволяющее в реальном времени отслеживать состояние критически важных устройств, включая системы питания и охлаждения, датчики зданий, а также системы промышленного управления (Industrial Control System, ICS), такие как программируемые логические контроллеры (Programmable Logic Controller, PLC, ПЛК) и счётчики энергии.

Было выявлено четыре уязвимости, две из которых получили оценку «критическая». Критические ошибки могут быть использованы удаленным неаутентифицированным злоумышленником для выполнения произвольного кода на целевой системе.

Остальные две уязвимости с высоким уровнем опасности могут быть использованы для удаленного выполнения кода на удаленном устройстве и получения конфиденциальной информации, например, паролей в открытом виде.

В ZDI сообщили, что одна из критических уязвимостей, отслеживаемая как CVE-2023-47207 (CVSS: 9.8), может быть использована через интернет, если система доступна в сети. Успешное использование уязвимости позволит атакующему получить привилегии администратора.

В реальных условиях атакующий может использовать уязвимости для компрометации InfraSuite Device Master и скрытия потенциально важных предупреждений от оператора. Если атакующий использует другие эксплойты для атаки на систему OT внутри окружения жертвы с целью вызвать сбои или ущерб, он также может взломать продукт мониторинга Delta, чтобы скрыть сообщения о проблемах в системе OT.

ZDI привела в пример реальную атаку Stuxnet , в которой вредоносное ПО было разработано для нанесения ущерба ICS-системам, связанным с центрифугами на ядерном объекте Натанз в Иране, при этом пытаясь скрыть манипуляции с поведением центрифуг.